Les experts en sécurité s'opposent à la nouvelle fonctionnalité de synchronisation de Google Authenticator
Agence web » Actualités du digital » Les experts en sécurité s’opposent à la nouvelle fonctionnalité de synchronisation de Google Authenticator

Les experts en sécurité s’opposent à la nouvelle fonctionnalité de synchronisation de Google Authenticator

La fonction de synchronisation de Google Authenticator est-elle vraiment sécurisée ?

La dernière mise à jour de Google Authenticator ajoute la synchronisation des comptes. En gros, vous pouvez désormais enregistrer des mots de passe à usage unique sur votre compte Google, ce qui peut s’avérer utile en cas de perte ou de mise à niveau de votre téléphone. Mais, curieusement, les chercheurs en sécurité ne sont pas satisfaits de cette fonctionnalité très demandée.

Dans un tweet récent, le développeur et chercheur en sécurité Mysk a découvert que la fonction de synchronisation de Google Authenticator n’utilise pas le chiffrement de bout en bout. Ainsi, si quelqu’un intercepte vos données de synchronisation (via une violation de données ou en piratant votre compte Google), il peut trouver la graine que votre Authenticator utilise pour générer des mots de passe à usage unique. À partir de là, le pirate peut générer des mots de passe à usage unique pour tout site Web associé à votre compte Authenticator.

De plus, Mysk note que les codes QR 2FA de Google Authenticator contiennent des noms de site Web et de compte. Google peut accéder à ces données personnelles lorsque vous utilisez la fonction de synchronisation d’Authenticator, car la fonction n’utilise pas de chiffrement de bout en bout. (Personnellement, je considère cela comme un point discutable. Google sait déjà quels sites Web vous utilisez. Il n’apprendra rien de révolutionnaire en examinant vos données Authenticator.)

Pour sa part, Google a une réponse assez mesurée à ces préoccupations. Marque chrétienne, le chef de produit de Google Identity and Security, explique que l’intérêt de la fonction de synchronisation d’Authenticator est d’empêcher les utilisateurs de se voir exclure des comptes associés à 2FA. Ainsi, ces sauvegardes doivent être relativement faciles d’accès.

Christiaan Brand dit que le chiffrement complet de bout en bout viendra « quelque part sur la ligne », vraisemblablement en tant que paramètre facultatif pour les utilisateurs qui synchronisent les données Authenticator avec leur compte Google.

Mais, dans tous les cas, il semble que la fonction de synchronisation d’Authenticator doive trouver un équilibre entre sécurité et commodité, une réalité qui pourrait rendre 2FA beaucoup moins utile que ne l’espéraient les chercheurs en sécurité. Cela est particulièrement vrai dans l’espace de l’entreprise, car les pirates qui veulent attaquer une entreprise le font généralement en ciblant ses employés.

La bonne nouvelle est que la fonction de synchronisation d’Authenticator est facultative. Et, si vous vous retrouvez bloqué sur des comptes protégés par 2FA, il existe généralement un moyen de récupérer l’accès au compte (c’est juste une douleur dans le cou, et c’est un peu gênant dans un environnement de travail).

Source: mysk, Google

★★★★★